Cómo Google protege tus datos

Sr. Pietraszek, su equipo y usted son responsables de proteger las cuentas de los usuarios. ¿Cómo impiden que los hackers accedan a ellas?

Tadek Pietraszek, ingeniero principal de Software encargado de la protección de las cuentas de usuario: En primer lugar, es importante poder detectar el ataque inicial. Usamos más de cien variables para identificar actividades sospechosas. Supongamos que vives en Alemania, no viajas al exterior muy seguido y alguien intenta acceder a tu cuenta desde otro país: eso activa alarmas.

Stephan Micklitz, director de ingeniería del equipo de Privacidad y Seguridad de Google: Por eso, a veces te pedimos que confirmes el número de teléfono que brindaste o cualquier otra información que solo tú, como titular de la cuenta, puedas saber.

Para Tadek Pietraszek (a la izquierda), el phishing es una de las principales amenazas de seguridad en línea.

¿Con qué frecuencia se produce este tipo de ataques?

Pietraszek: Cada día se producen cientos de miles de ciberataques. Nuestro mayor problema es que Internet contiene innumerables listas de nombres de usuario y contraseñas robadas de sitios web hackeados. Dado que un grupo de nuestros usuarios usan la misma contraseña para diferentes cuentas, estas listas también incluyen datos de acceso a la Cuenta de Google.

¿Estas listas representan la principal amenaza para la seguridad?

Pietraszek: Sí, sin duda. Las listas y los ataques clásicos de phishing. Casi todo el mundo ha recibido correos electrónicos de delincuentes que intentan obtener contraseñas de cuentas. Naturalmente, hacemos nuestra parte para garantizar que no lo logren. Si creemos que un correo electrónico destinado a tu sección Recibidos de Gmail parece sospechoso, podemos marcarlo con una advertencia para que lo examines en detalle o podermos eliminarlo automáticamente. Nuestro navegador Chrome también envía alertas cuando intentas visitar un sitio web que sabemos que es de phishing.

Micklitz: Hay dos tipos básicos de phishing. Los correos electrónicos masivos, que los delincuentes utilizan para recopilar la mayor cantidad posible de datos de acceso, y lo que se conoce como "ataque de phishing dirigido", con el cual intentan atacar la cuenta de una persona específica. Pueden ser operaciones bastante sofisticadas de varios meses de duración en los que el delincuente examina la vida de la víctima en detalle y lanza un ataque dirigido.

"Si creemos que un correo electrónico destinado a tu sección Recibidos de Gmail parece sospechoso, podemos marcarlo con una advertencia".

Tadek Pietraszek

¿Cómo ayuda Google a sus usuarios a evitar que estos ataques logren su cometido?

Pietraszek: Un ejemplo es nuestro sistema de verificación en 2 pasos. Muchos usuarios conocen este tipo de sistema porque lo utilizan en sus cuentas bancarias en línea. Si deseas transferir dinero, por ejemplo, tal vez debas ingresar tu contraseña y un código enviado por SMS. Google introdujo la autenticación de dos factores en 2009, es decir, antes que la mayoría de los principales proveedores de correo electrónico. Además, los usuarios de Google que registraron el número de celular se benefician automáticamente de un nivel similar de protección contra intentos de acceso sospechosos.

Micklitz: La autenticación de dos factores es un buen método, pero incluso se pueden interceptar los códigos por mensaje de texto. Por ejemplo, los delincuentes podrían comunicarse con tu proveedor de telefonía celular y engañarlo para que les envíe una segunda tarjeta SIM. La autenticación con un token de seguridad físico, como un transmisor Bluetooth o una unidad USB, ofrece una mayor seguridad.

Pietraszek: Usamos este recurso como parte de nuestro Programa de Protección Avanzada.

¿Qué es eso?

Pietraszek: En 2017, Google introdujo el Programa de Protección Avanzada, que está pensado para las personas expuestas a un mayor riesgo de sufrir un hackeo, como periodistas, directores generales, disidentes políticos y funcionarios gubernamentales.

Micklitz: Además de haber lanzado nuestra llave de seguridad física, limitamos el acceso a los datos que tienen las apps de terceros con la incorporación de más pasos que requieren que el usuario verifique su identidad si pierde la llave.

El director de ingeniería Stephan Micklitz es responsable de la privacidad y la seguridad a nivel global en Google. Estudió Informática en la Technical University of Munich y trabaja en la oficina de Google de esa ciudad desde fines de 2007.

¿Podría hablarnos sobre un ciberataque importante y cómo reaccionó ante él?

Pietraszek: Uno de estos ataques se produjo a principios de 2017. Los hackers habían creado un programa malicioso para obtener acceso a las Cuentas de Google de las víctimas y enviar correos electrónicos falsos a sus contactos. En esos correos, se les pedía a los destinatarios que otorgaran acceso a un documento de Google falso. Quienes lo hacían, sin saberlo, le permitían el acceso al software malicioso y automáticamente enviaban los mismos correos falsos a sus propios contactos. El virus se expandió muy rápido. Tenemos planes de contingencia para situaciones como esa.

Micklitz: En aquel caso en particular, por ejemplo, bloqueamos la distribución de esos correos electrónicos en Gmail, revocamos el acceso otorgado al programa y protegimos las cuentas. Por supuesto que también agregamos protecciones sistemáticas para que sea más difícil que ataques así se repitan en el futuro. Las Cuentas de Google sufren ataques todo el tiempo y nuestros sistemas automatizados ofrecen la protección más eficaz. Obviamente, eso depende de que podamos comunicarnos con nuestros usuarios por otros medios que no sean la Cuenta de Google, como una segunda dirección de correo electrónico o número de celular.

“En realidad, por lo general basta con seguir algunas reglas básicas”.

Stephan Micklitz

¿Qué tan importante es la seguridad para el usuario promedio?

Pietraszek: Para muchas personas, es muy importante, pero puede ser tedioso tomar todas las precauciones de seguridad necesarias. Esto explica, por ejemplo, por qué a menudo utilizan la misma contraseña para más de una cuenta, lo cual es el peor error que pueden cometer. Nuestro trabajo es explicarles a los usuarios cómo pueden proteger sus cuentas con el mínimo esfuerzo. Por eso ofrecemos la función Verificación de seguridad en la Cuenta de Google, que les permite verificar su configuración con facilidad.

Micklitz: De hecho, suele bastar con cumplir con unas pocas reglas básicas.

¿Cuáles son esas reglas?

Micklitz: No se debe usar la misma contraseña para varios servicios, hay que instalar actualizaciones de seguridad y hay que evitar el software sospechoso. Se debe proporcionar un número de teléfono o una dirección de correo electrónico alternativa para que los demás se puedan comunicar con nosotros por otros medios. Además, hay que configurar el bloqueo de pantalla de manera tal que a las personas no autorizadas les cueste más obtener acceso. Estos pasos básicos son un buen punto de partida.

.

Fotos: Conny Mirbach